1 83 Table of Contents 85 132

Red Seguridad 106

84 red seguridad tercer trimestre 2024 opinión Con la inminente entrada en vigor de la Directiva NIS2 en la Unión Europea a partir de este mismo mes de octubre – concretamente el día 18–, las organiza- ciones deberán poner en marcha medi- das de ciberseguridad que, hasta ahora, venían postergando. De todos los puntos que se contemplan en la normativa, hay dos novedades que impelen a mover fi- cha dentro de las compañías: una es la responsabilidad que tendrán los órganos directivos en el ámbito de la seguridad de su empresa, algo que antes re- caía casi exclusivamente en el CISO; y otra es la necesaria formación en ciberseguridad de los empleados. Este último punto puede llegar a ser un verdadero quebradero de cabeza para los CISO, pero, bien resuelto, podrá ser la tabla de salva- ción del responsable de seguridad de una empresa cuando reciba un ataque cibernético. Jinan Budge, VP, Principal Analyst en Forrester, ha pu- blicado que su compañía “predice que el 90 por ciento de las violacio- nes de datos incluirán el elemento humano en 2024. Sin embargo, nuestros esfuerzos por comprender y gestionar esta importante amena- za siguen siendo tibios” a pesar de que, de 2017 a 2022, se han cuadruplicado las pérdidas “para las empresas defrau- dadas por ataques exitosos de compro- miso de correo electrónico”. Urgente e imperativo Al aumento de los ciberataques a las or- ganizaciones se suma ahora la sofistica- ción de los mismos, dado que las nuevas tecnologías, con la inteligencia artificial a la cabeza, son también herramientas utilizadas por los atacantes. Así, reforzar la formación de los empleados en ma- teria de seguridad se ha vuelto algo ur- gente y, tras la normativa NIS2, también imperativo. Además, la urgencia adquiere mayor importancia a medida que bajamos en la pirámide empresarial. Las compañías que conforman el Ibex 35 en nuestro país son susceptibles de ser atacadas, pero son también las que más invier- ten en ciberseguridad y en formar a sus empleados, lo que las convierte en las más seguras, al menos sobre el papel. La Directiva NIS2 les afectará y tendrán que actuar, pero ya tienen recorrido un buen trecho del camino. Sin embargo, la mediana empresa –especialmente golosa para los cibercriminales por su capacidad económica para hacer frente a una extorsión, por ejemplo, con un ran- somware ; y a la vez por ser más vulne- rables que las grandes cuentas– deberá doblar sus esfuerzos. Pero el gran reto de la industria espa- ñola para atenerse a la Directiva NIS2 y, especialmente, para formar a sus trabajadores, no está en la cúspide ni en la zona media de la pirámide, sino en su base, en ese grueso del tejido industrial que conforman las pequeñas empresas que carecen de la figura del CISO en su inmensa mayoría; mientras solo un reducido número de ellas cuen- ta con un responsable informático que actúa de “chico para todo” en asuntos tecnológicos y, el resto, que viene a ser la mayor parte de ellas, que no dispo- ne de ninguna figura con la formación adecuada para implantar las medidas que pide la normativa. La gestión del riesgo humano impulsa cumplir la NIS2 C arlos M arcos Account Manager & Head Cyber Intelligence Unit de Ingecom Ignition

RkJQdWJsaXNoZXIy MTI4MzQz